維持香港社會正常運作和市民正常生活的必須關鍵基礎設施,現時未獲具針對性的安全法例規管,政府提出《保障關鍵基礎設施(電腦系統)條例草案》,並採取「機構為本」原則,即要求負責營運每個關鍵基礎設施的機構,履行保障其電腦系統安全的責任。當局指,絕大部分規管對象都會是有規模的大機構,中小企及一般市民均不受影響。
大型體育表演場地擬同受規管
保安局向立法會提交文件指,草案參考其他司法管轄區的立法方向,如內地、澳門、新加坡和英國等,從而制定一套適合香港的監管模式,法例亦只會要求「關鍵基礎設施營運者」承擔起保護其「關鍵電腦系統」的責任,絕不涉及系統內的個人資料和業務內容。
草案建議條例涵蓋8個提供必要服務界別的基礎設施,包括能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、醫療保健和通訊和廣播,以及大型體育及表演場地、科研園區等其他維持重要社會和經濟活動的基礎設施。不過,當局為免有關設施成為網絡攻擊目標,建議條例毋須公開「關鍵基礎設施營運者」的名單。
機構須為服務提供者違法負責
當局指,立法原意雖然並非旨在懲罰營運者,惟必須訂定相關罪行和適當罰則,確保條例能有效實施及執行,又指即使因第三方服務提供者的不足而導致違法,有關機構仍要為違規行為負責。刑罰將會以機構為單位,並只會以罰款方式處理,違者建議罰款50萬元至500萬元不等。
政府建議成立一個隸屬保安局的專責辦公室,執行擬議條例下的工作,包括監察針對關鍵基礎設施的電腦系統保安威脅、向「關鍵基礎設施營運者」發出書面指示,以堵塞可能出現的保安漏洞。同時,當局建議受規管的個別行業可以指明相關行業監管機構為「指定監管機構」,如金管局和通訊事務管理局。
保安局下月諮詢立法會保安事務委員會後,會進行為期1個月的公眾諮詢,計劃今年底把條例草案交付立法會審議,目標是條例通過後一年內成立專責辦公室,讓條例可於其後半年內正式生效。